欢迎来到威客安全请登录免费注册
手机版 微信公众号 收藏|官方客服电话:4006-119-120
企业客户
发布保密众测
让您的产品更安全
销售
发布众测
让安全生意不再难做
白帽子
提交漏洞
获得高额现金奖励
登录威客安全 ×
忘记密码       没有帐号 , 立即注册
研究人员根据泄漏NSA恶意软件创建新后门
草莓圣代2019-04-26 14:28人评论0人阅读2405


受2017年春由The Shadow Brokers在线泄露的NSA恶意软件“DoublePulsar”和“DarkPulsar”的启发,美国网络安全公司RiskSence研究人员Sean Dillon(@ zerosum0x0)创建了一个名为“SMBdoor”的恶意软件概念验证后门,突出了防病毒产品没有关注的操作系统部分。


SMBdoor被设计成了一个Windows内核驱动程序,一旦安装在PC上,就会滥用srvnet.sys进程中未经记录的API,将自己注册为服务器消息块(SMB)连接的有效处理程序。这款恶意软件非常隐蔽,因其不会将任何本地套接字、打开端口或挂钩绑定到现有功能,避免触发了某些防病毒系统警报。


据Dillon表示,SMBdoor代码其主要用于学术研究、没有武器化,网络犯罪分子不能像部署NSA的DoublePulsar版本一样、从GitHub上下载和感染用户,原因之一是“概念验证存在局限性;最重要的是Windows试图阻止未签名的内核代码。


加载辅助有效载荷的过程中,后门必须考虑到后续问题,这样才能使用分页存储器而不会让系统锁死。针对这两个问题其实都可以绕过,但启用Hyper-V Code Integrity等现代缓解措施时就会更加困难了。Dillon表示,除非攻击者重视隐身而不是修改SMBdoor,否则这种实验性恶意软件对任何人都没有用。


该软件的隐身设计和未记录的API功能还引起了许多安全研究人员的关注。




Dillion称:“跟DOUBLEPULSAR一样,这种植入物隐藏在系统中比较难懂的区域,对于已经绑定端口上收听网络流量、不接触任何套接字的情况,目前还不够完善,有待进一步研究。虽然系统或许存在通用内联挂钩、实现类似效果,但这种方法隐藏了SMB的正常、核心功能,这才是很有意思的地方,这是一种异常,需要自定义和特定代码来进行检测”。


Sean Dillon希望通过这项工作推动安全软件提供商改进检测、为Windows用户提供更好的保护,防范SMBdoor、DoublePulsar和DarkPulsar等威胁。其在分析泄露NSA恶意软件方面被圈内人士熟知。此前,他将EternalChampion、EternalRomance和EternalSynergy NSA漏洞移植到所有Windows版本上过;将DoublePulsar恶意软件植入物移植到基于Windows的物联网设备上过;还将EternalBlue SMB漏洞(WannaCry和NotPetya勒索软件使用的漏洞利用)移植到Windows 10上。

文章来源:mottoin,转载请注明来自
本文标签:安全资讯网络安全

分享到:
文章评论
登录后参与评论
评论 ( 0 )
京ICP备案14036275号 Copyright ©2014 jinlongSec All Rights Reserved 建议使用IE9以上浏览器浏览  |   威客安全品牌所有权归北京锦龙信安科技有限公司所有  |